본문 바로가기

벌새::Analysis

아프리카 OpenTV를 악용한 ActiveX 광고

3월경에 있었던 WBC 야구대회를 이용하여 돈벌이를 하던 [WBC를 이용한 얌체 구글 애드센스 기법]이라는 게시물이 있었습니다.

이번에는 현재 진행중인 국내 프로야구 경기를 이용한 돈벌이 방식에 대해 한 번 살펴보도록 하겠습니다.

이전에는 구글 애드센스를 추가하였다면 이번에는 프로야구 중계 방송을 보기 위해 ActiveX를 설치하도록 유도하는 방식입니다. 그리고 그 중심에는 현재 인터넷 방송국으로 유명한 아프리카(Afreeca) 서비스의 OpenTV를 이용하고 있다는 점입니다.

특정 웹 사이트를 방문하면 위와 같이 2009 한국 프로야구 중계방송을 바로 볼 수 있다는 서비스 페이지가 나옵니다. 해당 웹 사이트는 총 10개 정도로 구성되어 있으며, 한국 프로야구, 일본 프로야구,  EPL 축구 등으로 구성되어 있는 것으로 보입니다.

실제 방송을 보기 위해 플레이 버튼을 클릭하도록 구성된 해당 페이지에서는 특정 스폰서 프로그램(최신 업데이트 DBUP, 무료문자 Give2sms)를 설치해야지 볼 수 있으며, 이용약관도 제공하여 동의한 사용자에 한해 설치하도록 구성되어 있습니다.

동영상을 보려고 시도를 할 경우 위와 같이 [DBUP]이라는 ActiveX 설치창이 생성되고 반드시 해당 스폰서 프로그램을 설치해야 다음 단계로 진행이 되도록 구성되어 있습니다.

설치를 하였다면 드디어 해당 동영상을 제공하는 서비스의 정체를 알 수 있는데, 바로 나우콤에서 서비스하는 아프리카 - OpenTV 방식임을 확인할 수 있습니다.

해당 서비스는 아프리카의 특정 방송국에서 서비스하는 것으로 실제 아프리카 오픈TV를 웹 상에서 감상하려면 위의 [OpenTV ActiveX Control Module]만 설치하면 정상적으로 서비스를 받으실 수 있습니다.

그런데 제가 소개하는 해당 페이지에서는 타인의 방송을 이용하여 돈벌이 수단으로 해당 영상을 보기 위해서는 마치 자신들이 제공하는 서비스인 양 사용자를 속여서 스폰서 프로그램을 설치하게 한 다음에 아프리카 서비스로 접근하도록 유도하고 있습니다.

생성 폴더, 파일 정보

실제 설치된 파일 정보 중에서 초기 설치한 스폰서 프로그램의 ActiveX 파일 이름을 보시면 webplaycontrol 이라는 명칭을 사용하고 있습니다.

마치 해당 컨트롤러가 아프리카 동영상 서비스를 재생하는 파일처럼 꾸며져 있어서 사용자는 해당 스폰서 파일이 정상적인 서비스로 오해를 할 수 있다고 보여집니다.

[시작 프로그램 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - DBUpdateSystem = "C:\Program Files\DBup\dbupux.exe"
 - Give2SMS = "C:\Program Files\Give2SMS\Give2SMSMain\give2updater.exe"
 - Give2SMSUpdate = "C:\Program Files\Give2SMS\Give2SMSUpdate\subex.exe"

설치된 2개의 스폰서 프로그램은 제어판에서 [DB Update System], [Give2SMS], [Give2SMS Update] 삭제 항목을 통해 삭제를 지원하고 있습니다.

[추가 삭제 파일 정보]

C:\WINDOWS\Downloaded Program Files\webplaycontrol.dll
C:\WINDOWS\Downloaded Program Files\webplaycontrol.inf

C:\WINDOWS\System32\zb__.exe

[추가 삭제 레지스트리 정보]

HKEY_CURRENT_USER\software\webplayercontrol
HKEY_CURRENT_USER\software\webplayercontrol (dbupins)
HKEY_CURRENT_USER\software\Give2SMSUpdate
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\App Paths (Path=C:\Program Files\Give2SMS\Give2SMSUpdate)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\App Paths (Default=C:\Program Files\Give2SMS\Give2SMSUpdate\subex.exe)

아프리카 서비스를 이런 방식으로 사용하는 것이 나우콤 정책에 위반되는지는 해당 업체에서 판단할 일이지만, 오픈(Open)이라는 명칭을 사용하는 열린 서비스를 이용하도록 만들어진 것을 타 서비스를 허락없이 설치하는 방식으로 악용하는 것은 사용자 입장에서 옳은 방식은 아닌 것 같습니다.


  • 정말 혀를 내두를 정도로군요...하하핫;

  • 약관이 사기닷 2009.04.24 16:49 댓글주소 수정/삭제 댓글쓰기

    유저의 pc에 설치된 프로그램의 정보를 제공한다고 되어있는데 명백히 스파이웨어에 해당됩니다

    • 아마 DBUP이라는 프로그램이 제 생각에는 IE 어느 부분에 추천 프로그램 광고가 나오는게 아닐까 생각됩니다.

      광고 문구에는 저렇게 표시를 하는데, 실제 동작은 제 컴 환경에서 동작하지 않았지만, 가끔보면 추천 프로그램을 IE상에서 툴바나 추천 사이트 비슷하게 구현을 하는 프로그램이 있는 것 같더군요.

  • 약관이 사기닷 2009.04.24 17:01 댓글주소 수정/삭제 댓글쓰기

    계셧네요 저야 뭐 야구에 관심도 없지만 굳이 볼려고 하지도 않을겁니다 전 ActiveX를 무조건 싫어하니까요 저렇게 서비스하면 저같은 사람은 그냥 딴곳으로 갑니다 저는 기본적으로 마이크로소프트가 윈도업데이트와 같은걸 하는 ActiveX는 있겠지만 통상적으로 인터넷 옵션에 있는 ActiveX는 [0]개입니다 하나도 없습니다 그리고 하드보안관 씁니다 저런사이트는 아에 쳐다도 안 봅니다 ㅋ

  • 아에 씹혔다 2009.04.24 17:25 댓글주소 수정/삭제 댓글쓰기

    ActiveX가 개인pc를 많이 제어할 수 있는데 그걸 좋다고는 생각하지 않으시겠죠? 나쁜쪽으로 제어당한다면 얼마나 기분나쁘겠습니까? 빨리 ActiveX라는 기술을 M$에서 없애야 합니다

  • 백리 2009.04.24 21:11 댓글주소 수정/삭제 댓글쓰기

    일반 사용자는 정말 아무것도 모르고 피해라고 하면 피해를 보는군요...
    사리사욕을 체우기 위해 저런식으로 사용하는건 정말 아니라고 생각되네요!!
    오늘도 벌새님 블로그에서 좋은 공부합니다...
    아는거라고해도 함부로 설치는 안되겠네요..

  • 예 저런거많습니다 2009.04.24 22:43 댓글주소 수정/삭제 댓글쓰기

    그러니 ActiveX는 다 믿을꺼 없습니다 M$에서 ActiveX자체를 악성코드취급하겠다는 말이 그냥 나온게 아닙니다 저는 ActiveX라면 무조건 싫어합니다 우리나라 프로그램 받지 않는게 좋을꺼라 생각됩니다 요즘 장사?안된다고 이상한짓을 하는 것을 넣었을 가능성이 있습니다 xp는 하드보안관 써야됩니다

  • 안티버는 아직도 아프리카 관련 파일을 잡는다죠 ㅎ

  • 안티버 쓴적있어요 2009.04.25 13:04 댓글주소 수정/삭제 댓글쓰기

    저도 안티버 쓴적있지만 뭐 그다지 잘 못 잡더라고요 저의 마음에 들게 다 잡히는것도 아니고 그리고 한글이 안되는데다 프로그램 실행모습이 좀 윈도98도 아니고 그래픽작업을 안해놨더라고요 악성ActiveX도 못 잡고 안티버 믿었더니 뭐 국내 백신보다는 월등히 낫지만 저한테는 차라리 백신보다 하드보안관이 더 필요했어요 그리고 개인방화벽